所以我想知道如果我这是好的,或者如果theres另一个更好和安全的解决方案,从数据库中获取信息。php:从数据库中抓取用户信息,这段代码是否安全?
if (isset($_SESSION['user_id'])) {
$string = mysql_query("SELECT * FROM users WHERE id = '$_SESSION[user_id]'");
$v = mysql_fetch_array($string);
}
因为我想也许它可能破解了“会话”,改变USER_ID到另一个,他们可以访问任何用户woops ...
谢谢
user_id在登录时进入会话: $ _SESSION ['user_id'] = $ id;我忘记了转义字符串,我是否应该对会话线做任何事情? – Karem 2010-08-06 15:38:27
@Karem是的。上面的经验法则确实适用于任何外部输入。即使您认为这可能是保存:清理所有用户输入。 – Gordon 2010-08-06 15:40:01
消毒是什么意思,请你解释一下谢谢。 – Karem 2010-08-06 15:42:24